اكتشاف ثغرة إفشاء معلومات API عالية الخطورة عبر GitHub Dorking
تفاصيل العمل
كانت تؤدي إلى تسريب معلومات حساسة بسبب سوء التهيئة ووجود بيانات مكشوفة على GitHub.
استخدمت تقنيات Dorking في GitHub للعثور على مفاتيح API وقواعد بيانات مكشوفة.
قمت بتحليل البيانات المسربة لتقييم مستوى الخطر وأكدت إمكانية الوصول غير المصرح به إلى معلومات حساسة.
أبلغت الفريق الأمني المسؤول ليتم معالجة المشكلة قبل استغلالها من قبل المهاجمين.
تأثير الثغرة:
تسريب بيانات حساسة مثل مفاتيح API، بيانات المطور.
إمكانية تنفيذ هجمات انتحال الهوية (Impersonation Attacks) باستخدام المفاتيح المسربة.
تعريض الأنظمة للخطر من خلال تنفيذ أوامر غير مصرح بها عبر API.
توصيات الحماية:
منع تخزين مفاتيح API في مستودعات عامة على GitHub أو أي منصة أخرى.
تفعيل صلاحيات الوصول المناسبة لمنع أي تسريب غير مقصود.
استخدام أدوات مسح تلقائية لاكتشاف المفاتيح المكشوفة ومعالجتها فورًا.
الخاتمة:
يعتبر GitHub Dorking أداة قوية في أيدي الباحثين الأمنيين، لكنه قد يكون خطرًا أمنيًا إذا لم يتم التعامل معه بحذر. هذه الثغرة تبرز أهمية مراجعة الأكواد وحماية البيانات الحساسة لمنع تسريب المعلومات.
لقراءة التقرير الكامل:
كيف اكتشفت ثغرة تسريب معلومات خطيرة عبر GitHub Dorking
يمكنك الاطلاع على إنجازاتي عبر HackerOne
حسابي على HackerOne
يحتوي فيديو اثبات الثغره علي بيانات حساسه تضر المؤسسه والمطور لا يمكنني عرضها